BDU:2022-03067: Уязвимость методов алгоритма преобразования строки в число с плавающей запятой Kernel#Float и String#to_f интерпретатора языка программирования Ruby, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость методов алгоритма преобразования строки в число с плавающей запятой Kernel#Float и String#to_f интерпретатора языка программирования Ruby связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Сообщество свободного программного обеспечения, Red Hat Inc., ООО «Ред Софт», АО «ИВК», Ruby Team
Наименование ПО Debian GNU/Linux, Red Hat Enterprise Linux, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, Ruby
Версия ПО
  • 9 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 10 (Debian GNU/Linux)
  • 11 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • - (Альт 8 СП)
  • 9 (Red Hat Enterprise Linux)
  • до 2.6.10 (Ruby)
  • от 2.7.0 до 2.7.6 (Ruby)
  • от 3.0.0 до 3.0.4 (Ruby)
  • от 3.1.0 до 3.1.2 (Ruby)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11
  • ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
  • АО «ИВК» Альт 8 СП -
  • Red Hat Inc. Red Hat Enterprise Linux 9
Тип ошибки Выход операции за границы буфера в памяти, Чтение за границами буфера, Неправильное преобразование типов
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 12.04.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Ruby :
https://www.ruby-lang.org/en/news/2022/04/12/buffer-overrun-in-string-to-float-cve-2022-28739/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-28739

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2022-28739

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения